今回のリリースは4件のセキュリティ修正を含む『Security and Maintenance』リリースです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の今日、『WordPress』の更新版『WordPress 5.3.1』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.3.1セキュリティ&メンテ

さて、今回のリリースは『WordPress 5.3以前のバージョン』で影響を受けるとされるセキュリティ修正、バグ修正、機能強化となります。

『更新を強く推奨する』といったコメントではなく、『アップグレードする必要がある』というコメントが掲載されているため、アップデートすべきでしょう。

以下、アップデートの内容です。

＜セキュリティアップデート＞

・非特権ユーザーがREST APIを介して投稿をスティッキーにする可能性のある問題を修正

・クロスサイトスクリプティング（XSS）が巧妙に作成されたリンクに保存される可能性のある問題を修正

・wp_kses_bad_protocol（）を強化して、名前付きコロン属性を認識できるようにするための修正

・ブロックエディターのコンテンツを使用して、保存されたクロスサイトスクリプティング（XSS）の脆弱性を修正

＜メンテナンスアップデート＞

・管理：管理フォームコントロールの高さおよびアライメントの標準化の改善、ダッシュボードウィジェットリンクのアクセシビリティ、および代替カラースキームの読みやすさの問題を改善

・ブロックエディター：Edgeのスクロールの問題と断続的なJavaScriptの問題を修正

・バンドルテーマ：作成者の略歴を表示/非表示にするカスタマイザーオプションを追加し、JSベースのスムーズスクロールをCSSに置き換え、Instagram埋め込みCSSを修正

・日付/時刻：非GMT日付の計算を改善し、特定の言語での日付形式の出力を修正し、get_permalink（）をPHPタイムゾーンの変更に対してより回復力のあるものにする

・埋め込み：サービスが存在しないため、CollegeHumor oEmbedプロバイダーを削除する

・外部ライブラリ：sodium_compatを更新する

・サイトの正常性：管理者の電子メール検証のリマインド間隔をフィルタリングできる

・アップロード：ファイル名が一致する場合、サムネイルが他のアップロードを上書きしないようにし、アップロード後にPNG画像をスケーリングから除外する

・ユーザー：管理メールの確認で、サイトロケールではなくユーザーのロケールが使用されていることを確認する

・その他

以上のようになっています。

例によって早めの段階で『WordPress 5.3.1』へアップデートされることがお勧めです。

さて、何故このようなことが起こるのでしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『Web画像』が抜けてしまう現象、これは単に画像が置かれている先のパスを間違えたからではありません。

Web画像が抜け落ちてしまった理由

Web画像は訪問者であるユーザーにイメージを伝える重要なファクターです。

それが抜け落ちてしまうと非常に困ります。

指定している画像のパスを確認しても問題なく、ファイル名も間違っていない。

あらゆるキャッシュをクリアしても現象は変わらない。

いったい何が問題なのか？

可能性の一つとして、『CDN（Content Delivery Network / コンテンツデリバリーネットワーク）』が考えられます。

最近ではWebの高速化を図る手段としてよく用いられるもので、html、css、JavaScript、jpg・png・gifなどのWebサイトを構成している要素をキャッシュしてくれるため非常に便利なものです。

では、それを使っていると何故『Web画像』が抜け落ちてしまうことがあるのか？

もう一つ要因があります。

Web画像に『WebP（ウェッピー）』を使っている場合です。

『WebP（ウェッピー）』というのはGoogle（グーグル）が開発した画像を軽量化してくれるフォーマットで、jpgを非可逆圧縮した場合には25～34%程度小さくなり、PNGの場合は28%程度小さくなるとされています。

これは、『CDN（Content Delivery Network / コンテンツデリバリーネットワーク）』側において『WebP（ウェッピー）』に対応していない場合に起こり得ます。

すべてが完全に抜け落ちてしまうわけでもなく、不安定な状態いなるといった方が正しいかもしれません。

ケースによってはデスクトップ上では問題が起きず、スマートフォンなどのモバイル上だけで現象が発生する場合もあります。

もし何をやっても解決しない場合で前述の条件に当てはまっているのであればこれを疑ってみるのも一つです。

今回のリリースは6件のセキュリティ問題を修正した『セキュリティリリース』となります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

日本時間の昨日、『WordPress』の更新版『WordPress 5.2.4』が公開されました。

今日はそのニュースをお伝えします。

WordPress 5.2.4セキュリティアップデート

さて、今回のリリースは『WordPress 5.2.3以前のバージョン』で影響を受けるとされる『セキュリティリリース』となります。

『すぐにサイトを更新することを強くお勧めします』といったコメントは特別ありませんでしたがアップデートすることが無難でしょう。

以下、アップデートの内容です。

・格納型XSS(クロスサイトスクリプティング)がカスタマイザー経由で追加される可能性の問題が発見された件の修正

・認証されていない投稿を表示する方法が見つかった件の修正

・JavaScriptをスタイルタグに挿入する格納型XSSの作成方法が発見された件の修正

・Vary: Origin ヘッダーを介して JSON GETリクエストのキャッシュをポイズニングする方法が見つかった件の修正

・URLの検証方法でサーバーサイドリクエストフォージェリが発見された件の修正

・管理画面のリファラーバリデーションに関連する問題を発見された件の修正

以上のようになっています。

いつもの通り、早めの段階で『WordPress 5.2.4』へアップデートされることがお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に『それが必要なくなるかもしれません』という書き方をしましたが、実際にはブラウザが『Google Chrome 76』であれば『Lazy Load』や『lazysizes』といったものは必要なくなりました。

『Google Chrome 76』において『ネイティブlazy-load』をサポートするようになったのです。

JSなしで画像が遅延読込み可能に

『ネイティブlazy-load』はどうやら開発版のGoogle Chrome（Canary）で試験的に運用されていたようで、今回『Google Chrome 76』から正式にサポートされるようになりました。

ブラウザでサポートしてくれますので『<img>タグ』に『loading属性』を追加すれば機能してくれます。

『<img>タグ』だけでなく『<iframe>タグ』でも『loading属性』は機能します。

例えば、

<img src=”example.jpg” alt=”例” height=”500″ width=”500″>というコードの場合

<img src=”example.jpg” loading=”lazy” alt=”例” height=”500″ width=”500″>

とするだけです。

この『loading属性』は『lazy』を含めて3種類あります。

『loading=”lazy“』：lazy-loadを必ず適用し、画像が近づくとそれを読み込む。

『loading=”eager“』：lazy-loadを適用せず、ページと同時に画像を読み込む。

『loading=”auto“』：lazy-loadするかはブラウザに判断を任せる。

また、値がなく属性だけの場合は『auto』が適用されるとなっています。

Google Chromeを使っているユーザーは多いですから、JavaScriptを外してこのパターンに変更してしまっても良いのかもしれません。

ちなみに、SEOへの影響はないようです。

Googleが行っていることなので影響があっても困りますが。。。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今Webサイトを制作する場合はPC版、スマホ版、セットで制作することが多くなっていますが、その際、スマートフォンの場合だけ電話番号のリンクを有効にしておきたいといったことを思われたことはありませんか？

これ、単純に<a>タグに『href=”tel:0521234567″』と書いてしまうとPC版もリンクを張られてしまうことになるためお勧めではありません。

では、どのようにしておくのがお勧めなのでしょうか？

レスポンシブ対応サイトの電話番号

まず、記述方法の前に1つ別のことをクリアしておく必要があります。

iPhoneなどのiOSデバイスの場合、電話番号は自動でリンクが有効になるようにはなっているのですが、これは電話番号だけでなく、電話番号以外の番号の羅列にも反応してしまいます。

（ブラウザ：Safari）

また、Androidデバイスの場合にはそもそもiOSのような機能がないため反応しません。

（ブラウザ：Chrome）

そのため、<head></head>の中に以下の記述を追加し、まずは電話番号の自動リンクを無効化しておく必要があります。

<meta name=”format-detection” content=”telephone=no”>

次に、電話番号の部分に『data属性』を記述します。

例：<span data-action=”call” date-tel=”0521234567″>052-123-4567</span>

そして、この『data-action=”call”』が指定されている<span>タグだけを<a>タグにする『JavaScript』を用意します。

（要『jQuery』）

例：function isPhone(){return navigator.userAgent.indexOf(“iPhone”)>0||navigator.userAgent.indexOf(“Android”)>0}
$(function(){isPhone()&&$(“span[data-action=call]”).each(function(){var n=$(this);
n.wrap(‘<a href=”tel:’+n.data(“tel”)+'”></a>’)})});

（JavaScriptが圧縮された記述になっていますがそのまま使えます。）

といった感じです。

スマートフォンの場合、Webサイトにアクセスした後に電話番号をタップして電話を掛けようとすることは結構あるのではないでしょうか。

そのような場合にはお勧めです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はメジャーバージョンアップ版の『WordPress 5.2 “ジャコ”』がリリースされましたので、それについてお伝えします。

WordPress 5.2 “ジャコ”の新機能

今回リリースされた『WordPress 5.2 “ジャコ”』は、『WordPress 5.1 “ベティ”』から始まった『より高速で安全なWordPress』の続きになります。

＜サイトヘルスチェック＞

5.1で導入されたサイトヘルス機能に加え、このリリースではよくある設定問題のデバッグに役立つ2つの新しいページが追加されました。また、開発者がサイト管理者のためにデバッグ情報を含められるスペースも追加しています。

＜PHP エラープロテクション＞

この管理者向けのアップデートにより、開発者の時間を損なわずに致命的なエラーを安全に修正もしくは管理できるようになります。いわゆる「死のホワイトスクリーン」のより優れた処理と、エラーを引き起こしているプラグインもしくはテーマを停止させるリカバリーモードへの移行が特徴です。

＜改善＞

（アクセシビリティの向上）

スクリーンリーダーやその他の支援技術を利用する方々のため、状況認識とキーボードナビゲーションのフローを改善するための多くの変更が連携して施されました。

（新しいダッシュボードアイコン）
Instagram、BuddyPress 用のアイコンセット、そしてグローバルな多様性を受け入れるための回転する地球を含む13個の新しいアイコンが備わりました。ダッシュボードで見つけてお楽しみください !

（プラグイン互換性チェック）
インストールされているプラグインがサイトの PHP のバージョンと互換性があるかを WordPress が自動的に検知するようになりました。もしそのプラグインが現在使用中の PHP のバージョンよりも上のバージョンを必要とする場合、潜在的な互換性エラーを回避するため、WordPress はそのプラグインを有効化しません。

＜開発者向け＞

（PHPバージョンの引き上げ）

サポートされる PHP の最低バージョンが5.6.20になりました。WordPress 5.2から、テーマとプラグインは名前空間、無名関数、そしてもっとたくさんのことを安全に活用できるようになりました !

※　PHP の古いバージョン(5.6.20未満)でサイトが動いている場合は、5.2をインストールする前に PHP をアップデートしてください。

（プライバシーのアップデート）
新しいテーマページテンプレート、条件分岐関数、そしてプライバシーポリシーページのデザインとカスタマイズをより容易にする2つの CSS クラス。

（新しいボディタグのフック）
5.2 では wp_body_open フックが導入されました。テーマが、 要素の最初にコードを挿入できるようにします。

（JavaScript のビルド）
wordpress/scripts パッケージ内での webpack と Babel 設定の追加により、モダンな JavaScript を書くための複雑なビルドツールのセットアップに開発者は悩む必要がなくなりました。

以上の内容となります。

引用部分にもあります通り、予告されていた『PHPバージョンの引き上げ』が行われていますので、PHP 5.6.20未満の場合は先にPHPバージョンを上げる必要があります。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、トレンドマイクロがブログで公表したところによると、Microsoftのブラウザ『Edge』と『IE（Internet Explorer）』に『ゼロディ脆弱性』が報告されており、ブラウザのセッション情報が露出する恐れがあるとされています。

今日はその話題です。

EdgeとIEのゼロディ脆弱性

今回発覚している脆弱性ですが、『同一生成元ポリシー違反』と呼ばれるもので、不正なWebサイトに埋め込まれたJavaScriptが、ユーザが訪問した別のWebサイトに関連した情報を収集することが可能になるというものです。

『Edge』か『IE（Internet Explorer）』を使用して不正なWebサイトを訪問した場合、このような脆弱性が利用されることによりブラウザのセッションに関する機密情報が攻撃者に転送される恐れがあると紹介されています。

この脆弱性に対処した修正プログラムは未だ公開されておらず、それが公開されるまでの間は『Edge』と『IE（Internet Explorer）』の使用を控え、他のブラウザ（ChromeやFirefoxなど）で対応することが良さそうです。

参考：『トレンドマイクロ セキュリティブログ “Microsoft EdgeとInternet Explorerにゼロデイ脆弱性、セッション情報が露出する恐れ”』

ご参考までに。

そして、2月には『WordPress 5.1』がリリースされる予定です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

『WordPress 5.0″Bebo（ベボ）”』がリリースされたのは先月の頭ですが、今回、3回目のマイナーアップデートがありました。

そして今後、WordPressのサーバー要件に変更が出てくる可能性があります。

WordPress 5.0.3 メンテナスリリース

前回の『WordPress 5.0.2』に続き、今回の『WordPress 5.0.3』もバグ（不具合）修正の『メンテナンスリリース』ですが、37のバグ（不具合）修正と7のパフォーマンス修正が行われていますのでアップデートがお勧めです。

内容的には、

・テーマ『Twenty Nineteen』のブロックエディタ関連の修正と改良

・ブロックエディタの国際化に関する修正

・JavaScriptが無効のユーザーがブロックエディタを使用しようとした際の通知

・PHPエラーの修正

・CSVファイルなどのアップロードに関する修正

といった感じとなっています。

特別な理由がない限りアップデート更新をしておくことが良いでしょう。

WordPress 5.1 以降の展開

次に今後の情報に関してです。

1つは、今後のWordPressにおいて『サイトのヘルスチェック』が行われていくようです。

これは、サイトの安定性とパフォーマンスに関するもののようで、段階的に組み込まれていく予定をしているとされています。

そして、その最初の段階は2月にリリースされる予定の『WordPress 5.1』に含まれるとされています。

もう1つは、今年の4月あたりにWordPressのサーバー要件が引き上げられるようです。

現在、WordPress 3.2系以降においては『PHP 5.2.4以上』が最低要件となっていますが（推奨はPHP 5.6以上）、『PHP 5.6以上』が最低限必要とされるように変更されるようです。

この変更に備えてもらうため、『WordPress 5.1』において警告表示を行うようになるとされています。

最近では『PHP 7』が使えるサーバーも多くなっていますので、この機会に『PHP 7』への対応を検討されることがお勧めです。

パフォーマンスが全く違いますから。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、WordPressやWordPressのプラグインの脆弱性をターゲットにしたサイバー攻撃はよくある話しではありますが、最近、また新たなものが確認されているようです。

AMP for WordPressがターゲットに

ここ最近ターゲットになっているものとして、WordPressのプラグインである『AMP for WordPress』に存在する脆弱性を標的にしたものがあります。

（AMPとは、Accelerated Mobile Pagesの略で、AMP for WordPressは10万以上のウェブサイトにインストールされています。）

この攻撃、どうやらAMP for WordPressの脆弱性を直接ではなく、別の脆弱性と組み合わせ利用しているようで、サイト内のさまざまなところに攻撃コードを埋め込み、管理者権限を持ったユーザーがそれらの部分にアクセスするのを待っていると言います。

そして、攻撃コードはあるドメインからJavaScriptファイルを読み込み、そのJavaScriptファイルが『supportuuser』という名前の管理者ユーザーアカウントを作成してしまいます。

この『supportuuser』という管理者ユーザーアカウントは他のプラグインのコードエディター部分にもアクセスし、当該ユーザーが削除された場合でもバックドアとして使える、別の攻撃コードを埋め込むことまでするようです。

WordPressやWordPressのプラグインの脆弱性をターゲットにした攻撃はいくつもありますが、それを防ぐ最低限の措置として、WordPress本体、WordPressのプラグイン、ともに最新の状態にして使用することが重要です。

また、今回の件に限って言えば、『supportuuser』という管理者ユーザーアカウントが作成されてしまっていないかをチェックすることも必要と言えます。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先週末公開されたマルウェアレポートに関してお伝えします。

2018年の上半期マルウェアレポート

まず、2018年の上半期において日本国内で検出したマルウェアの検出数は2017年下半期と比べて半減しており、これは世界全体で見ても同様に減少しているとされています。

推測される要因として、ダウンローダーを添付したばらまき型メールの減少が大きいようです。

しかし、VBA形式のものは世界の中でも日本が最も多く検出されており、MicrosoftのWordやExcelなど、業務で使われるアプリケーションを悪用した攻撃は2017年以前から継続して確認されているとされていることと、JavaScriptなど、Webサイト上における脅威は以前に比べて増しているともされています。

次に、昨年末あたりに異常な高騰を見せた仮想通貨の取引所に対する攻撃に加え、それを採掘させるマイニングマルウェアの存在も目立ってきていることと、インターネットバンキングを狙ったものが取り上げられており、いずれも前述のメール添付のダウンローダーや本文中URLからのダウンローダー、Webサイト上におけるJavaScriptなどからの感染が主な要因のようです。

その他、Windowsの脆弱性を悪用したものも取り上げられていますが、全体的に言えることとして、Windowsやアプリケーションのセキュリティ対策プログラムは常に最新を保ち、セキュリティソフトは必ず常駐させ、不審なメールに対する認識の共有や不審なサイトへのアクセスを行わないなど、基本的なことが守られていればかなりの確率で感染を避けることができることがわかると思います。